.png.c9b8f3e9eda461da3c0e9ca5ff8c6888.png)
Luna:用Rust 編寫的全新勒索軟件上個月,卡巴斯基實驗室的研究人員在暗網勒索軟件論壇上發現了一個新型惡意軟件,該惡意軟件是用Rust 編寫的,可以在Windows、Linux 和ESXi 系統上運行,研究人員通過卡巴斯基安全網絡(KSN) 找到了一些樣本。
Luna 中可用的命令行選項
從可用的命令行選項來看,Luna 相當簡單。但是,它使用的加密方案並不那麼典型,因為它涉及x25519 和AES,這是勒索軟件方案中不經常遇到的組合。
Linux 和ESXi 示例都是使用相同的源代碼編譯的,與Windows 版本相比有一些細微的變化。例如,如果Linux 示例在沒有命令行參數的情況下執行,它們將不會運行。相反,它們將顯示可以使用的可用參數。其餘代碼與Windows 版本相比沒有顯著變化。
開發者稱Luna 只與講俄語的機構合作。此外,在二進製文件中硬編碼的贖金記錄包含拼寫錯誤。例如,它說“a little team”而不是“a small team”。因此,我們假設Luna 背後的開發者是講俄語的人。由於Luna 是一個新發現的組織,關於其受害者的數據仍然很少。
Luna 證實了跨平台勒索軟件的趨勢:當前的勒索軟件組織嚴重依賴Golang 和Rust 等語言,其中就包括BlackCat 和Hive。這些語言與平台無關,用這些語言編寫的勒索軟件可以很容易地從一個平台移植到其他平台,因此攻擊可以同時針對不同的操作系統。除此之外,跨平台語言有助於規避靜態分析。
Black Basta
Black Basta 是一種用C++ 編寫的相對較新的勒索軟件變體,於2022 年2 月首次被發現。該惡意軟件、基礎設施和活動當時仍處於開發模式。例如,受害者博客尚未上線,但Black Basta 網站已經可供受害者使用。
Black Basta 支持命令行參數“-forcepath”,該參數只用於加密指定目錄下的文件。否則,整個系統(除某些關鍵目錄外)將被加密。
兩個月後,也就是四月,勒索軟件變得更加成熟。新功能包括在加密之前以安全模式啟動系統,以及出於持久性原因模仿Windows 服務。
安全模式重啟功能並不是我們每天都會遇到的,儘管它有它的優勢。例如,一些終端解決方案不會在安全模式下運行,這意味著不會檢測到勒索軟件,並且系統中的文件可以“輕鬆”加密。為了以安全模式啟動,勒索軟件執行以下命令:
C:\Windows\SysNative\bcdedit/setsafebootnetworkChanges
C:\Windows\System32\bcdedit/setsafebootnetworkChanges早期版本的Black Basta 包含與當前使用的不同的記錄,顯示出與Conti使用的贖金記錄相似。這並不像看起來那麼奇怪,因為當時Black Basta 仍處於開發模式。
贖金記錄比較
為了確定Conti 和早期版本的Black Basta 之間確實沒有代碼重疊,研究人員人員提取了一些樣本。確實,如下圖所示,只有字符串重疊。因此,代碼本身沒有重疊。
與Conti 勒索軟件重疊
適用於Linux 的Black Basta在上個月的另一份報告中,我們討論了Linux 的Black Basta 版本。它是專門為ESXi 系統設計的,但它也可以用於Linux 系統的一般加密,儘管這會有點麻煩。
就像Windows 版本一樣,Linux 版本只支持一個命令行參數:“-forcepath”。使用時,只對指定目錄進行加密。如果沒有給出參數,“/vmfs/volumes”文件夾將被加密。
該版本的加密方案使用ChaCha20和多線程技術,借助系統中不同的處理器來加速加密過程。鑑於ESXi環境通常使用多個CPU 來執行VM 場,惡意軟件的設計(包括所選的加密算法)允許操作員盡快對環境進行加密。在加密文件之前,Black Basta 使用chmod 命令在與用戶級別相同的上下文中訪問它。
Black Basta目標對Black Basta 組織發布的受害者的分析顯示,迄今為止,該組織已成功在很短的時間內攻擊了40 多名不同的受害者。受害者博客顯示,包括製造、電子、承包商等在內的各個業務部門都受到了影響。根據分析數據,我們可以看到歐洲、亞洲和美國也受到了攻擊。